|
|
 |
|
|
 |
Attention ! Une signature électronique
peut en cacher UNE AUTRE !
|
|
L'idée, le fait :
www.whynet.org relate le 29 juin 2005 comment, lors de la conférence Eurocrypt 2005, deux chercheurs allemands ont réalisé une démonstration de leur attaque sur une signature électronique. Ils sont parvenus à présenter un document totalement différent du document original et portant cependant une signature électronique.
L'attaque se joue en deux temps. La première partie consiste à enregistrer un deuxième document invisible au sein d'un document existant. La victime signe alors électroniquement le document en ne visualisant que le document visible. La deuxième partie consiste à rendre visible le document caché, et inversement à cacher le document précédemment visible. Ce tour de passe-passe n'est pas considéré par le système comme une altération du document. La signature électronique reste donc valable.
Toutefois, cette attaque ne concerne pour le moment que les documents Postscript signés avec un algorithme de type MD5.
"En attendant de trouver une solution contre cette attaque, restez vigilant et vérifiez bien si le document que vous vous apprêtez à signer n'en contient pas un autre !" conclut l'article.
Le commentaire :
Depuis que la carte bancaire réputée inviolable s'est avérée très fragile, suite à la démonstration d'un ingénieur français, l'ingénieux Serge Humpich - qui avait trouvé la « yes card », la carte qui répond oui à toutes les questions posées par le système -, on est en droit de douter de l'inviolabilité des systèmes de sécurité. Cette découverte de l'encre sympathique électronique devrait permettre à quelques auteurs de science-fiction de concurrencer l'actuel succès du Da Vinci Code. Et si nous donnions un nom à cette encre sympathique, pourquoi pas le « Veni Vidi Vici Code » ?
Quand on pense que le GIE Cartes Bancaires n'avait rien trouvé de mieux que de traîner le fameux Humpich devant les tribunaux, pour obtenir une peine de prison à l'encontre de ce dangereux fauteur de trouble économique. Résultat : le guide de fabrication d'une « yes card » se retrouvait étonnamment disponible le lendemain sur Internet. Les deux chercheurs allemands doivent-ils s'attendre à connaître un sort identique ? Rien n'est moins sûr, les autorités allemandes étant certainement plus sages que le groupement de banquiers français (d'ailleurs passé depuis sous la tutelle de la Banque de France sur le problème spécifique de la sécurisation de la carte bancaire).
Si cette affaire est certes troublante, n'oublions pas que cette « prestidigitation » (à prendre au sens premier et français du terme : illusion produite par l'agilité des doigts, ou dans un sens nouveau illusion numérique « digitale ») laisse des traces. En cas de contestation, un expert peut retrouver facilement la supercherie et établir la mauvaise foi caractérisée de l'une des parties. Et là, ne doutons pas que les tribunaux, employés cette fois à bon escient, sauront prononcer des peines qui devraient dissuader les apprentis escrocs.
|
|
|
|
|
